一级路由通过静态路由的方式访问二级路由

> 需求：我现在有两个路由器，一个一级，二个二级，二级的wan 插到 一级的lan口，一级是 10.168.1.x  二级是 192.168.31.x 网段，我现在二级访问一级的网络是没有问题的，但是一级路由的设备想访问二级路由下面的设备有问题，不通，，两台路由器 怎么配置静态路由？

配置步骤：
### 第一步：确认二级路由器的 WAN 口 IP
比如我这里是  10.168.1.157

### 第二步：在一级路由器添加静态路由

登录一级路由器的管理界面，找到 “静态路由” 或 “高级路由设置” 功能（不同品牌位置不同，如 TP-Link、华硕、小米等）。

| 字段                            | 值                                         |
| ------------------------------- | ------------------------------------------ |
| 目标网络（Destination Network） | `192.168.31.0`                             |
| 子网掩码（Subnet Mask）         | `255.255.255.0`                            |
| 网关（Gateway）                 | `10.168.1.100`（即二级路由器的 WAN 口 IP） |
| 接口（Interface）               | 通常自动选择 LAN                           |
| 启用（Enable）                  | ✅ 勾选                                     |

> 📌 注意：网关必须填二级路由器在一级网络中的 IP（WAN IP），不是它的 LAN IP（192.168.31.1）！

### 测试连通性

在一级网络的设备上（如 IP 为 10.168.1.50 的电脑）执行：

~~~
ping 192.168.31.1     # 测试能否通二级路由器
ping 192.168.31.198   # 测试能否通二级下的某个设备
~~~

如果能通，说明配置成功。

我这里出问题了，我的二级路由是小米R2D， ping 192.168.31.1 可以通。
但是 ping 192.168.31.198 的时候，不行。

正在 Ping 192.168.31.198 具有 32 字节的数据:
来自 10.168.1.157 的回复: 无法连到端口。

通义千问给出来的回复是：

~~~
✅ ping 192.168.31.1（二级路由器）是通的 → 说明静态路由配置成功，网络路径已经打通。
❌ ping 192.168.31.198 不通，提示：“来自 10.168.1.157 的回复: 无法连到端口。”

这个提示其实不是“网络不通”，而是 ICMP 请求被转发了，但目标设备没响应 ping。
~~~

**接着检查并关闭反向路径过滤：**
登录小米路由器ssh 。执行：

~~~

# 查看当前设置
cat /proc/sys/net/ipv4/conf/all/rp_filter
cat /proc/sys/net/ipv4/conf/br-lan/rp_filter
cat /proc/sys/net/ipv4/conf/eth0.2/rp_filter  # WAN 口（VLAN2）

~~~

全部返回0，没有问题。

**继续检查防火墙 FORWARD 规则**
~~~
iptables -L FORWARD -v -n
~~~
得到的结果是：
~~~
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 335K  269M delegate_forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0
~~~

==问题就出在这里，看看大模型下面是怎么分析的：==

#### **防火墙 FORWARD 策略是 DROP ❌**

```bash
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 335K  269M delegate_forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0
```

- 虽然有 `delegate_forward` 规则在处理转发，但**默认策略是 `DROP`**。
- 关键是：**没有看到明确允许 `10.168.1.0/24 → 192.168.31.0/24` 的规则**。
- 小米老固件的 `delegate_forward` 是一个自定义链，可能没有包含跨子网 LAN-LAN 转发的信任规则。

------

### 🎯 问题定位

> ❌ **一级网络设备（10.168.1.x）发来的数据包，在到达小米 R2D 后，被 FORWARD 链默认 DROP 了。**

虽然你能 `ping 192.168.31.1`（路由器本身），但访问 `192.168.31.198` 是“经过路由器转发到下游设备”，属于 `FORWARD` 行为，受防火墙控制。

------

### ✅ 解决方案：手动添加 iptables 允许规则

你需要明确告诉小米路由器：“来自 `10.168.1.0/24` 的流量，允许转发到 `192.168.31.0/24`”。

#### 🔧 执行以下命令（通过 SSH）：

```bash
# 允许从一级网络访问二级网络设备
iptables -I FORWARD -s 10.168.1.0/24 -d 192.168.31.0/24 -j ACCEPT

# 允许回包（从二级网络返回一级网络）
iptables -I FORWARD -s 192.168.31.0/24 -d 10.168.1.0/24 -j ACCEPT
```

> ✅ `-I` 是插入到规则最前面，优先匹配。

### 再次查看 FORWARD 链：

~~~
iptables -L FORWARD -v -n
~~~

应该回看到：
~~~
pkts bytes target     prot opt in     out     source               destination
   0     0 ACCEPT     all  --  *      *       192.168.31.0/24      10.168.1.0/24
   0     0 ACCEPT     all  --  *      *       10.168.1.0/24        192.168.31.0/24
 335K  269M delegate_forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0
~~~

### ✅ 设置开机自动加载（重要）

小米 R2D 重启后，iptables 规则会丢失。你需要写入启动脚本。

#### 编辑 `/etc/rc.local`

```bash
vi /etc/rc.local
```

在 `exit 0` 之前添加：

```bash
# 允许一级网络访问二级网络
iptables -I FORWARD -s 10.168.1.0/24 -d 192.168.31.0/24 -j ACCEPT
iptables -I FORWARD -s 192.168.31.0/24 -d 10.168.1.0/24 -j ACCEPT
```

保存退出：

- 按 `Esc`
- 输入 `:wq` 回车

问题解决，完活 ！